Аннотация.  В статье представлен комплексный анализ процедуры производства компьютерных экспертиз как формализованной последовательности процессуальных и организационно-технических действий.  Исследуются её структурные элементы, включающие стадии назначения, организации и непосредственного производства экспертизы, а также оценку заключения эксперта.  Особое внимание уделяется процессуальным гарантиям, обеспечивающим законность и достоверность результатов:  соблюдению прав участников процесса, правилам отбора и фиксации объектов, обеспечению их неизменности (принципу целостности).  Детально рассмотрены специфические методические аспекты, характерные для экспертиз цифровых объектов:  создание криминалистических копий (образов), использование write-blocking устройств, применение валидированных программно-аппаратных комплексов.  На основе системного подхода выявляются типичные нарушения процедуры, ведущие к признанию доказательств недопустимыми, и формулируются принципы её оптимизации в условиях роста сложности информационных систем и объёмов цифровых данных.

Ключевые слова:  процедура производства экспертизы, компьютерная экспертиза, процессуальные действия, стадии экспертизы, назначение экспертизы, организация экспертизы, исследование, заключение эксперта, криминалистическая копия, верификация данных, принцип целостности, методическое обеспечение.

Введение

Компьютерные (компьютерно-технические, программно-компьютерные) экспертизы прочно вошли в доказательственную практику по широкому спектру судебных дел.  Их высокая доказательственная ценность обусловлена способностью устанавливать факты, недоступные для непосредственного восприятия правоприменителем.  Однако эта ценность напрямую зависит не только от профессиональной квалификации эксперта, но и от строгого соблюдения регламентированной процедуры производства экспертизы.  Процедура представляет собой установленную законом и ведомственными инструкциями последовательность взаимосвязанных действий, направленных на достижение научно обоснованного и процессуально безупречного результата.

Нарушение процедурных норм на любом этапе – от изъятия носителя информации до оформления выводов – ставит под сомнение достоверность полученных данных и может привести к признанию заключения эксперта недопустимым доказательством (ст.  75 УПК РФ, ст.  55 ГПК РФ, ст.  68 АПК РФ).  Специфика цифровых объектов, характеризующихся неочевидностью, латентностью, простотой модификации и зависимости от среды воспроизведения, предъявляет повышенные требования к процессуальной строгости.  Таким образом, процедура производства компьютерных экспертиз выступает не просто административным регламентом, а системой гарантий, обеспечивающих научную добросовестность и правовую чистоту экспертного исследования.

Целью данной статьи является построение целостной структурно-стадийной модели процедуры производства компьютерных экспертиз, выделение её ключевых элементов, анализ специфических процессуальных и методических требований на каждом этапе, а также выявление проблемных зон и формулирование рекомендаций по их устранению.

1. Процедура производства экспертизы как система: стадийность и процессуальный контекст

Процедура производства судебной экспертизы является производной от общих процессуальных норм и может быть структурирована в несколько взаимосвязанных стадий, каждая из которых имеет собственные цели, задачи, субъектный состав и процессуальное оформление.  В контексте компьютерных экспертиз эта модель приобретает специфические черты.

Стадия 1.  Назначение экспертизы.
Данная стадия инициируется субъектом, ведущим производство по делу (следователь, дознаватель, суд), и включает:

• Выявление необходимости в специальных познаниях.  Установление, что для разрешения вопросов, имеющих значение для дела, требуются знания в области информационных технологий, выходящие за рамки общедоступных.
• Вынесение постановления (определения) о назначении экспертизы.  Это ключевой процессуальный документ, в котором должны быть четко указаны:  основания для назначения, наименование экспертного учреждения или данные конкретного эксперта, вопросы, поставленные перед экспертом, материалы и объекты, предоставляемые в его распоряжение.  В компьютерных экспертизах критически важна точная идентификация объектов:  не просто «компьютер», а конкретный системный блок с указанием инвентарного номера, марки, места изъятия; не «флеш-накопитель», а носитель с указанием объема, производителя и уникального номера.
• Формулировка вопросов эксперту.  Вопросы должны быть конкретными, научно разрешимыми, не выходящими за пределы компетенции эксперта и не содержащими правовой оценки.  Например, вместо «Было ли совершено нарушение авторских прав?» следует задать вопрос:  «Содержит ли исследуемое программное обеспечение «Х» фрагменты исходного кода, идентичные или существенно сходные с фрагментами исходного кода программного обеспечения «Y»?».

Стадия 2.  Организационно-подготовительная стадия (в экспертной организации).
После получения постановления и объектов в экспертном учреждении осуществляется:

• Регистрация постановления и проверка комплектности материалов.  Устанавливается, достаточно ли представленных объектов и документов для проведения исследования.
• Назначение руководителем учреждения конкретного эксперта (комиссии экспертов).  При этом учитывается специализация, квалификация и занятость эксперта.  В случае комплексной экспертизы формируется комиссия из экспертов разных специальностей.
• Разъяснение эксперту его прав и обязанностей, предупреждение об уголовной ответственности по ст.  307 УК РФ.
• Рассмотрение экспертом постановления и материалов дела.  Оценка возможности решения поставленных задач, анализ необходимости постановки дополнительных вопросов или предоставления дополнительных материалов (ст.  57 УПК РФ, ст.  85 ГПК РФ).
• Планирование исследования.  Разработка экспертом предварительного плана, выбор методов и последовательности действий, подбор необходимого программно-аппаратного инструментария.

Стадия 3.  Стадия производства исследования.
Это центральная, аналитическая стадия процедуры, которая, в свою очередь, делится на этапы, особо значимые в компьютерной экспертизе:

3. 1. Предварительное исследование и осмотр объектов.
   Эксперт визуально осматривает представленную технику, фиксирует её состояние, маркировку, внешние повреждения. Для цифровых носителей это включает проверку на наличие физических дефектов.
4. 2. Создание рабочей (исследовательской) копии объекта – этап, уникальный для компьютерных экспертиз.
   Непосредственная работа с оригинальными носителями информации (жесткими дисками, SSD) недопустима из-за риска их повреждения или случайной модификации данных. Поэтому обязательным этапом является создание криминалистической копии (forensic image).  Это побитовое (bit-by-bit) точное воспроизведение всего содержимого носителя, включая служебные области, удаленные файлы и неразмеченное пространство.  Процедура требует:

• Использования аппаратных или программных write-blocker’ов, физически или логически блокирующих возможность записи на исходный носитель.
• Применения специализированного ПО (FTK Imager, EnCase, AFF4, Guymager) для создания образа.
• Обязательного расчета криптографических хеш-сумм (чаще всего MD5, SHA-1, SHA-256) как для исходного носителя, так и для созданной копии.  Совпадение хеш-сумм является математическим доказательством идентичности копии оригиналу и соблюдения принципа целостности данных.  Хеш-суммы фиксируются в заключении эксперта.
• Обеспечения правильного хранения и учета как оригинала, так и созданных образов.

3. 3. Непосредственное экспертное исследование.
   Работа ведется исключительно с криминалистической копией. Методы исследования выбираются в соответствии с поставленными задачами:

• Восстановление и анализ файловой системы.
• Поиск, извлечение и анализ файлов, в том числе удаленных и фрагментированных (метод file carving).
• Исследование журналов событий (логов) операционной системы и приложений.
• Анализ метаданных файлов.
• Исследование содержимого оперативной памяти (RAM-анализ), если был изъят дамп памяти.
• Статический и динамический анализ программного кода.
• Анализ сетевого трафика (при наличии дампов пакетов).

Все действия эксперта должны подробно документироваться в исследовательской части заключения с указанием примененных инструментов, параметров настройки и полученных промежуточных результатов.

Стадия 4.  Формулировка выводов и составление заключения эксперта.
На основе проведенного анализа эксперт формулирует ответы на поставленные вопросы.  Выводы должны быть:

• Обоснованными:  непосредственно вытекать из описанного исследования.
• Конкретными и понятными:  изложены ясным языком, по возможности избегая узкоспециальной терминологии, либо с её обязательным разъяснением.
• Категоричными или вероятными.  В компьютерных экспертизах, особенно при работе с частично поврежденными данными, допустимы вероятные выводы («удаление файла, вероятно, было осуществлено. . . »), но их степень вероятности должна быть аргументирована.

Заключение эксперта составляется в письменной форме и подписывается экспертом.  К нему могут прилагаться фототаблицы, распечатки кода, схемы, графики, а также электронные приложения (например, скопированные файлы) на отдельном носителе, о чем делается соответствующая отметка.

Стадия 5.  Оценка заключения эксперта субъектом, назначившим экспертизу.
Заключение не имеет заранее установленной силы и подлежит оценке по внутреннему убеждению суда, следователя.  Оценивается его допустимость, относимость, достоверность, а также полнота и научная обоснованность.  Стороны вправе ходатайствовать о вызове эксперта для дачи пояснений, о назначении дополнительной или повторной экспертизы.

2. Специфические процессуальные гарантии и методические требования в производстве компьютерных экспертиз

Процедура производства компьютерных экспертиз включает ряд уникальных требований, являющихся гарантиями достоверности:

1. Гарантия неизменности исходных данных (принцип целостности).  Реализуется через комплекс мер:  использование write-blocker’ов, создание криминалистических копий с верификацией хеш-суммами, ведение экспертом журнала всех действий (audit trail).  Любое отклонение от этого принципа фатально для доказательственной силы.
2. Гарантия применения валидированных методик и инструментов.  Программно-аппаратный инструментарий, используемый экспертом, должен быть научно обоснован, а его алгоритмы – верифицированы.  Применение несертифицированного или самописного ПО без доказательства корректности его работы может быть подвергнуто сомнению.
3. Гарантия репрезентативности и сохранности изъятых объектов.  Следователь или суд, изымая оборудование, должны обеспечить его правильную транспортировку и хранение (избегая воздействия магнитов, статического электричества, влаги).  Необходимо изымать не только сами носители, но и, по возможности, средства аутентификации (пароли, ключи).
4. Гарантия профессиональной компетенции эксперта.  Эксперт должен обладать не только дипломом, но и актуальными практическими знаниями в быстро меняющейся ИТ-сфере.  Это вызывает дискуссии о необходимости привлечения действующих ИТ-специалистов в качестве экспертов.

3. Типичные нарушения процедуры и их процессуальные последствия

Анализ судебной практики позволяет выделить наиболее частые нарушения:

• Нарушения при изъятии и обеспечении сохранности:  отсутствие понятых при изъятии цифровых носителей, неправильное их описание и упаковка, изъятие работающего сервера без предварительного создания его образа, приведшее к потере данных.
• Нарушения при создании и верификации копий:  работа эксперта непосредственно с оригинальным носителем без write-blocker’а, отсутствие в заключении хеш-сумм или их несовпадение, использование неспециализированного ПО для копирования (например, средствами операционной системы).
• Нарушения в постановке вопросов:  вопросы правового характера («Имел ли место взлом системы?»), слишком общие вопросы, не позволяющие провести конкретное исследование.
• Нарушения в оформлении заключения:  отсутствие описания примененных методов и последовательности действий, неаргументированность выводов, приложение электронных материалов без их надлежащего описания и обеспечения целостности.

Такие нарушения являются основанием для ходатайства о признании заключения недопустимым доказательством или для назначения повторной экспертизы.

4. Перспективы оптимизации процедуры в условиях новых технологических вызовов

Развитие облачных вычислений, интернета вещей (IoT) и шифрования создает новые проблемы для традиционной процедуры:

• Экспертиза в облачных средах:  объекты физически находятся вне юрисдикции, управляются третьей стороной.  Требуется разработка новых процедур легального доступа к данным через запросы к провайдеру и создание образов виртуальных машин.
• Экспертиза устройств IoT:  ограниченный доступ к памяти, протоколам, проблема изъятия и эмуляции всей экосистемы устройства.
• Полное шифрование диска:  делает традиционное создание побитовой копии бесполезным без ключа дешифрования.  Актуальным становится live-forensics (анализ работающей системы в ОЗУ) и разработка процессуальных основ для его применения.

Для адаптации необходимы:

1. Разработка и законодательное закрепление новых протоколов изъятия и исследования данных из облаков и с зашифрованных устройств.
2. Стандартизация форматов криминалистических образов и метаданных, сопровождающих экспертизу.
3. Создание национальных реестров валидированного экспертного ПО с открытыми алгоритмами.
4. Усиление роли специалиста (консультанта) на стадии изъятия цифровых доказательств следователем для обеспечения их процессуальной чистоты.

Заключение

Процедура производства компьютерных экспертиз представляет собой не набор формальностей, а строгую логико-процессуальную систему, каждая стадия которой выполняет важную гарантийную функцию.  От её неукоснительного соблюдения зависит, будут ли результаты экспертизы восприняты судом как достоверные и допустимые доказательства.  Специфика цифровых объектов, их хрупкость и сложность, делают классические процедурные требования ещё более жёсткими, дополняя их уникальными этапами, такими как создание верифицированных криминалистических копий.

Понимание процедуры как целостного процесса, от грамотного изъятия объекта до критической оценки выводов, необходимо всем участникам судопроизводства:  судьям, следователям, адвокатам и самим экспертам.  Только в этом случае компьютерная экспертиза сможет реализовать свой потенциал как мощный инструмент установления истины в цифровую эпоху, а её заключения будут обладать непререкаемым авторитетом, основанным на научной rigor и процессуальной безупречности.  Дальнейшее совершенствование процедуры, её адаптация к новым технологическим реалиям является ключевой задачей для теории и практики судебной экспертизы.